Qu’est-ce que le nom de domaine entièrement qualifié ( FQDN ) Limite d’objet?
Symptom
La limite maximale actuelle pour les FQDN objets est de 2000 pour les petites plates-formes VM- et toutes les séries, 2048 pour la PA-3200 série, et 6144 pour toutes les grandes plates-formes.
La FQDN limite IP d’objet est codée à 10 dans les versions Pré 7.0. Il est réglé à 32 en PAN-OS 7,1 et des versions plus élevées.
Environment
- PAN-OS en.
- Pare-feu de Palo Alto.
- FQDN configuration de l’objet.
Resolution
Un exemple de Pre 7.x est montré ci-dessous. fqdntest.pantac.lab a 11 adresses ip attribuées au nom de domaine
Sur firewall PAN-OS l’utilisation de 7,0 ou moins seulement 10 entrées sont considérées comme la limite maximale est atteinte. Cette limite d’entrée est de 32 PAN-OS en 7,1 et plus.
Contournement
Si l’on a besoin de plus de 32 A adresses, le script peut être utilisé qui crée une liste de blocs dynamiques. Ce blocklist peut être utilisé comme FQDN objet.
A script possible sur un linux / mac serait: hôte fqdntest.pantac.lab | grep | awk '{print $4}' >> fqdn_list.txt
Le fqdn_list.txt fichier contient toutes les IP adresses associées à fqdntest.pantac.lab:
Rendez ce fichier disponible sur un serveur HTTP et configurez une liste de blocs dynamiques sur firewall :
Aller à GUI : Objets > listes de blocs dynamiques : (Objets > listes dynamiques externes PAN-OS en 7,1 et plus)
Utilisez cet objet dans les stratégies de sécurité. Pour vérifier quelles IP adresses sont utilisées, utilisez la commande suivante :
> request system external-list show name fqdntest.pantac.lab (7.0 or below) or > request system external-list show type ip name fqdntest.pantac.lab (7.1 and higher) vsys1/fqdntest.pantac.lab: IPs: 1.1.1.1 1.1.1.3 1.1.1.2 1.1.1.11 1.1.1.10 1.1.1.9 1.1.1.8 1.1.1.7 1.1.1.6 1.1.1.5 1.1.1.4
Additional Information
Pour plus de détails sur la configuration, référez les listes dynamiques externes.